Zautomatyzowane badanie i reagowanie (AIR) w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2

• Dotyczy:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Ponieważ alerty zabezpieczeń są wyświetlane w organizacji platformy Microsoft 365 pod adresem https://security.microsoft.com/alerts, zespół ds. operacji zabezpieczeń (SecOps) musi przejrzeć, ustalić priorytety i odpowiedzieć na te alerty. Nadążanie za ilością alertów przychodzących może być przytłaczające. Automatyzacja niektórych z tych zadań może pomóc.

Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2 (zawarty w licencjach platformy Microsoft 365, takich jak E5 lub jako subskrypcja autonomiczna) obejmuje zaawansowane funkcje zautomatyzowanego badania i reagowania (AIR), które oszczędzają czas i nakład pracy dla zespołów SecOps.

Funkcja AIR klasyfikuje alerty o dużym wpływie i dużej liczbie, wykonując badania na poziomie organizacji. Badania air rozszerzają wykrywanie lub zapewniają dodatkową analizę w celu określenia stanu zagrożenia dla organizacji. Gdy usługa AIR identyfikuje zagrożenia, kolejkuje akcje korygowania zagrożeń do zatwierdzenia przez personel SecOps. Funkcja AIR zapewnia następujące korzyści:

• Zautomatyzowane procesy badania w odpowiedzi na dobrze znane zagrożenia.
• Odpowiednie akcje korygowania oczekujące na zatwierdzenie, umożliwiające zespołowi SecOps skuteczne reagowanie na wykryte zagrożenia.
• Twój zespół SecOps może skoncentrować się na zadaniach o wyższym priorytecie bez utraty z oczu ważnych alertów, które są wyzwalane.

Funkcja AIR w planie Ochrona usługi Office 365 w usłudze Defender 2 wymaga włączenia rejestrowania inspekcji (domyślnie jest włączone).

Ogólny przepływ powietrza

Wyzwalany jest alert, a podręcznik zabezpieczeń uruchamia zautomatyzowane badanie, co skutkuje ustaleniami i zalecanymi akcjami. Oto ogólny przepływ air, krok po kroku:

1. Zautomatyzowane badanie jest inicjowane na jeden z następujących sposobów:

   • Określone alerty, które są przeznaczone do inicjowania funkcji AIR. Te alerty obejmują:

     • Coś podejrzanego jest identyfikowane w wiadomości e-mail (na przykład sam komunikat, załącznik, adres URL lub konto użytkownika z naruszeniem zabezpieczeń).

     • Automatyczne przeczyszczanie o zerowej godzinie (ZAP).

     • Przesłania użytkowników.

     • Użytkownik klika alerty.

     • Podejrzane zachowanie skrzynki pocztowej.

       Porada

       Pamiętaj, aby regularnie przeglądać alerty w organizacji. Aby uzyskać więcej informacji na temat zasad alertów wyzwalających zautomatyzowane badania, zobacz domyślne zasady alertów w kategorii Zarządzanie zagrożeniami. Wpisy zawierające wartość Tak dla zautomatyzowanego badania mogą wyzwalać zautomatyzowane badania. Jeśli te alerty zostaną wyłączone lub zastąpione przez alerty niestandardowe, funkcja AIR nie zostanie wyzwolona.

   • Analityk zabezpieczeń ręcznie wyzwala badanie, wybierając pozycję Podejmij akcję w Eksploratorze zagrożeń, Zaawansowane wyszukiwanie zagrożeń, wykrywanie niestandardowe, stronę jednostki Email lub panel podsumowania Email. Aby uzyskać więcej informacji, zobacz Wyszukiwanie zagrożeń: Email korygowanie. Przykłady można znaleźć w temacie Przykłady zautomatyzowanego badania i reagowania (AIR) w Ochrona usługi Office 365 w usłudze Microsoft Defender planie 2.

2. Zautomatyzowane badanie ocenia i analizuje charakter alertu, związanego z tym komunikatu oraz dodatkowe dowody otaczające komunikat. Zakres dochodzenia może wzrosnąć w oparciu o dowody, które zostały odkryte i zebrane podczas dochodzenia.

3. W trakcie i po zautomatyzowanym badaniu dostępne są szczegóły i wyniki . Wyniki mogą obejmować zalecane akcje dla personelu Usługi SecOps w celu skorygowania wykrytych zagrożeń.

4. Zespół SecOps przegląda wyniki badania i zalecenia (w samym badaniu, w zdarzeniu lub w centrum akcji) oraz zatwierdza lub odrzuca akcje korygowania.

   Porada

   Żadne akcje korygowania nie są wykonywane automatycznie. Akcje korygowania wymagają ręcznego zatwierdzenia przez personel SecOps. Funkcje AIR oszczędzają czas, przechodząc do zalecanych akcji korygowania ze wszystkimi szczegółami w celu podjęcia świadomej decyzji.

   Air oszczędza również czas, oceniając i automatycznie usuwając alerty i incydenty, w których nie znaleziono zagrożeń. Ten wynik jest bardzo powszechny w scenariuszach przesyłania użytkowników. AIR zamyka dochodzenie, jeśli nie znaleziono żadnych zagrożeń lub nie znaleziono zagrożeń w komunikatach, które zostały już skorygowane. Typowo

5. Ponieważ oczekujące akcje korygowania zostaną zatwierdzone lub odrzucone, zautomatyzowane badanie zostanie zakończone.

   Automatyczne badanie zostanie automatycznie zamknięte, jeśli nie zostaną zidentyfikowane żadne zalecane akcje. Szczegóły dochodzenia są nadal dostępne na stronie Badania pod adresem https://security.microsoft.com/airinvestigation.

Podczas i po każdym zautomatyzowanym badaniu zespół SecOps może wykonywać następujące zadania:

• Wyświetlanie szczegółów dotyczących alertu związanego z badaniem
• Wyświetlanie szczegółów wyników badania
• Przeglądanie i zatwierdzanie akcji w wyniku badania

Wymagane uprawnienia i licencjonowanie dla air

Musisz mieć przypisane uprawnienia do korzystania z funkcji AIR. Masz następujące możliwości:

• Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) (jeśli Email & współpracy>Ochrona usługi Office 365 w usłudze Defender uprawnienia to Aktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell):
  • Rozpocznij automatyczne badanie lub zatwierdź lub odrzuć zalecane akcje: Operacje zabezpieczeń/Email zaawansowane akcje korygowania (zarządzanie).
• Email & uprawnienia do współpracy w portalu Microsoft Defender:
  • Konfigurowanie funkcji AIR: członkostwo w grupach ról Zarządzanie organizacją lub Administrator zabezpieczeń .
  • Rozpocznij automatyczne badanie lub zatwierdź lub odrzuć zalecane akcje:
    • Członkostwo w grupach ról Zarządzanie organizacją, Administrator zabezpieczeń, Operator zabezpieczeń, Czytelnik zabezpieczeń lub Czytelnik globalny . i
    • Rola Wyszukiwanie i przeczyszczanie , która jest domyślnie przypisana tylko do grup ról Badacz danych lub Zarządzanie organizacją . Możesz też utworzyć nową grupę ról z przypisaną rolą Wyszukiwanie i przeczyszczanie oraz dodać użytkowników do niestandardowej grupy ról.
• uprawnienia Microsoft Entra: nadaj użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji na platformie Microsoft 365:
  • Konfigurowanie funkcji AIR Członkostwo w rolach administratora globalnego lub administratora zabezpieczeń .
  • Rozpocznij automatyczne badanie lub zatwierdź lub odrzuć zalecane akcje:
    • Członkostwo w rolach Administrator globalny, Administrator zabezpieczeń, Operator zabezpieczeń, Czytelnik zabezpieczeń lub Czytelnik globalny . i
    • Członkostwo w grupie ról współpracy Email & z rolą Wyszukiwania i przeczyszczania przypisaną zgodnie z wcześniejszym opisem.

Aby korzystać z funkcji AIR, musisz mieć przypisaną licencję na Ochrona usługi Office 365 w usłudze Defender plan 2 (dołączony do subskrypcji lub licencji dodatku).

Następne kroki

• Przykłady air
• Zobacz szczegóły i wyniki zautomatyzowanego badania
• Przeglądanie i zatwierdzanie oczekujących akcji
• Wyświetlanie oczekujących lub zakończonych akcji korygowania